LGPD abrange todos os CNPJ mas falha ao privar PMEs de soluções de conformidade

A lei oferece poucas soluções práticas para pequenos e médios empreendedores

Depois que este artigo for publicado, é provável que ele seja enviado em forma de newsletter para talvez alguns outros milhares de leitores, além daqueles que habitualmente frequentam as páginas do +QD, o portal Mais que Direito. Para isso, é preciso que dados tenham sido coletados, e-mails tenham sido transferidos para uma plataforma e ali fiquem armazenados.

Alguns anos atrás, essa operação costumava ser feita em planilhas de Excel que eram trocadas livremente entre áreas de empresa por e-mail. Planilhas que continham nome, endereço, RG, CPF e, muitas vezes, até dados bancários de clientes. E ficavam por anos abandonadas nas caixas de entrada de funcionários que sequer fariam qualquer uso daquela informação.

Se você leu isso e pensou: “mas isso ainda acontece na minha empresa”, você está em um enrosco sério. E as multas podem ser pesadas. Em agosto de 2018, foi aprovada no Brasil a Lei Geral de Proteção de Dados, a LGPD, e por mais alheio que você seja ao noticiário você já deve ter ouvido falar da sigla. A lei levou dois anos para entrar em vigor, período em que as empresas puderam se adaptar.

E, até o final de fevereiro de 2023, não havia definição exata sobre o que de fato ocorreria com quem não cumprisse as regras.

Regras para todos

Vou ser claro. A lei se aplica a toda e qualquer empresa em funcionamento no Brasil.

Independentemente de porte, setor ou regime fiscal, nenhuma empresa no Brasil pode usar dados de cidadãos brasileiros de forma indevida e, se o fizer, vai pagar multas que podem quebrar a companhia.

As grandes empresas saíram correndo para se adequar à nova legislação assim que ela foi publicada, o que não quer dizer que todo mundo esteja pronto.

Mas uma imensidão de micro, pequenas e médias, justamente aquelas que têm menos condições de compreender o que diz a lei, ou de contratar um especialista para apoiar no processo de adequação, continuam sujeitas a sanções, que vão de advertências a pesadas multas.

Na prática, a LGPD é democrática ao abranger todos os CNPJs e proteger 100% dos cidadãos, mas não na oferta de soluções práticas de conformidade para todos.

Possibilidades para alguns

O assunto não é simples. Uma planilha de Excel para listar os clientes e seus dados todo mundo tem. Essa ferramenta se tornou corrente há décadas e, por pouco mais de R$ 200, qualquer empresa pode comprar um pacote Office. Mas quem pode se dar ao luxo de contratar um DPO (Data Protection Officer), ou o profissional encarregado de garantir que a empresa esteja dentro da lei, uma das exigências da LGPD?

E só piora. Em 27 de fevereiro deste ano, a ANPD (Autoridade Nacional de Proteção de Dados) – responsável por fiscalizar o cumprimento da LGPD, orientar as empresas e os cidadãos sobre a lei – publicou o Regulamento de Dosimetria e Aplicação de Sanções Administrativas. O nome já não é simples para quem não é da área.

Trocando em miúdos, a resolução divide as infrações à LGPD em leve, média e grave, ou seja, cria uma dosagem. Depois determina como essas empresas serão punidas. Quem comete uma infração grave, por exemplo, não pode levar apenas uma advertência.

Uma vez que a infração seja dosada, a ANPD vai determinar se existem fatores que possam atenuar ou agravar a situação. Na prática, se a empresa já cometeu alguma infração anterior, por exemplo, isso piora a situação. Mas se a empresa tem boas práticas ou adota procedimentos para reduzir os danos, isso pode reduzir as punições.

A partir daí, a ANPD determina as sanções que devem ser aplicadas.

Mas afinal de contas, a LGPD afeta a sua empresa?

Aí vem uma série de perguntas difíceis de responder. Especialmente para as MPMEs. Como resolver? Vai ser preciso contratar mais gente? Haverá outros custos? Os processos e fluxos de trabalho vão mudar? Tudo isso vale o custo-benefício ou é possível arriscar, imaginando que a ANPD não vai ter braços para fiscalizar todo mundo?

Vou começar tratando do último ponto. O risco é altíssimo. E não fazer nada já tira da empresa todos os fatores atenuantes e pode criar agravantes. Claro que a decisão é sempre do líder, mas parece no mínimo imprudente.

Para os pequenos, a primeira saída é a informação. O letramento jurídico precisa ser encarado como uma barreira importante a ser enfrentada por todos, especialmente por quem trabalha com a lei.

É necessário que possamos democratizar o acesso ao conteúdo jurídico como forma de produzir uma sociedade mais transparente e democrática.

Tecnologia

A democratização do conhecimento virá inclusive pelo uso da tecnologia. Em nosso escritório, credenciamos a empresa EMX e o Gestão X para esse fim. Outros softwares serão criados, e a concorrência nesse caso será positiva e permitirá que mais pequenas e micro empresas possam cumprir as exigências da ANPD sem que precisem fazer grandes aportes financeiros, de forma eficiente.

A tecnologia hoje já desempenha um papel fundamental na proteção de dados. Com o aumento da digitalização e da quantidade de informações pessoais e sensíveis armazenadas online, a segurança dos dados se tornou uma preocupação crítica para empresas, organizações e indivíduos.

A seguir listo algumas das principais formas pelas quais a tecnologia se torna cada vez fundamental:

  • Criptografia de dados
  • Autenticação e controle de acesso
  • Firewall e segurança de rede
  • Monitoramento e detecção de ameaças
  • Atualizações e patches de segurança
  • Backup e recuperação de dados
  • Privacidade por design
  • Conformidade regulatória
  • Educação e conscientização
  • Análise de dados para segurança

Em resumo, a tecnologia já desempenha um papel crítico na proteção de dados, permitindo a implementação de medidas de segurança robustas e a adaptação contínua às ameaças em evolução, mas ainda com maior robustez nas grandes empresas.

É essencial democratizar o uso da tecnologia para micro, pequenas e até médias empresas, para garantir a confidencialidade, segurança e integridade dos processos e adequação à lei, além da disponibilidade dos dados em um mundo cada vez mais digitalizado.